Il nuovo Regolamento 2024/1689 dell’UE si basa sui diversi livelli di rischio connessi all'uso dell'intelligenza artificiale.
Le disposizioni seguono un approccio risk-based e stabiliscono obblighi per i fornitori e gli utenti a seconda del livello di rischio che può generare l'AI. La classificazione dei sistemi ad alto rischio include sistemi di AI che pongono rischi per la salute pubblica, la sicurezza, i diritti fondamentali e l'ambiente. Rientrano nell'elenco dei sistemi ad alto rischio anche i sistemi di intelligenza artificiale impiegati per influenzare gli elettori nelle campagne politiche e i sistemi di raccomandazione utilizzati dalle piattaforme di social media.
I modelli di AI per finalità generali devono conformarsi ai requisiti relativi alla trasparenza: per esempio, occorre segnalare quando il contenuto è generato da un algoritmo di AI, progettare il modello per evitare che generi contenuti illegali e produrre una sintesi dei dati utilizzati per l'addestramento dei modelli e protetti dalla normativa europea sul diritto d’autore.
Il Regolamento promuove spazi di sperimentazione normativa in ambienti controllati (c.d. sandbox) istituiti dalle autorità pubbliche per testare l'AI prima della diffusione e prevede esenzioni per le attività di ricerca e i componenti di AI forniti nell'ambito di licenze open source.
I cittadini dell'Unione europea hanno inoltre il diritto di presentare reclami alle autorità competenti in merito ai sistemi di AI e di ricevere spiegazioni per le decisioni basate su sistemi di AI ad alto rischio che hanno un impatto significativo sui loro diritti.
La timeline di attuazione dell’AI Act è la seguente:
- 1 agosto 2024: entrata in vigore del Regolamento.
- 2 febbraio 2025: applicazione delle restrizioni sulle pratiche di AI vietate.
- 2 agosto 2025: applicazione delle norme che disciplinano i modelli di AI per finalità generali, la governance, la riservatezza e le sanzioni.
- 2 agosto 2026: applicazione delle restanti disposizioni del Regolamento, escluse le disposizioni sull'AI ad alto rischio.
- 2 agosto 2027: piena conformità per i sistemi di intelligenza artificiale ad alto rischio.
Che cosa devono fare le aziende in merito all’IAAI Act?
Le aziende dovranno valutare l'impatto sulle attività e il business model del nuovo Regolamento sull’AI, individuando le aree che necessitano di cambiamenti e i processi su cui occorre concentrare l’attenzione.
Con il supporto di consulenti specializzati, le aziende potranno capire come applicare il nuovo Regolamento nel quadro esistente:
- Identificare e valutare i potenziali rischi associati alle applicazioni di intelligenza artificiale in uso in azienda, distinguendo tra rischi inaccettabili, alti e bassi o minimi e implementare di conseguenza le strategie più adeguate a mitigare tali rischi.
- Definire le modalità per adeguarsi alle norme e ai requisiti specifici per i sistemi di AI, come gli obblighi di trasparenza per i sistemi che (i) interagiscono con l’uomo, (ii) sono utilizzati per riconoscere emozioni o determinare l'associazione con categorie sociali sulla base di dati biometrici, o (iii) generano o manipolano contenuti come i "deep fake".
- Identificare la catena del valore dell'AI (compresi importatori, distributori, rappresentanti autorizzati) dell’azienda e i relativi obblighi.
Disporre di un piano completo che copra tutta la nuova e futura legislazione contemplata dalla strategia digitale dell'Unione europea può creare opportunità e mitigare i rischi.